AWS VPN se compone de dos servicios: AWS Site-to-Site VPN y AWS Client VPN. AWS Site-to-Site VPN le permite conectar de forma segura su red local o el sitio de su sucursal a Amazon Virtual Private Cloud (Amazon VPC). AWS Client VPN le permite conectar con seguridad usuarios a redes locales o de AWS.

Preguntas generales

P: ¿Qué es un punto de enlace de Client VPN?

R: Un punto de enlace de Client VPN es un constructo regional que debe configurar para usar el servicio. Las sesiones de VPN de los usuarios finales terminan en el punto de enlace de Client VPN. Como parte de la configuración del punto de enlace de Client VPN, debe especificar los detalles de autenticación, la información del certificado del servidor, la asignación de dirección IP del cliente y las opciones de registro y VPN.

P: ¿Qué es una red de destino?

R: Una red de destino es una red que se asocia al punto de enlace de Client VPN y que permite un acceso seguro a sus recursos locales y de AWS. Actualmente, la red de destino es una subred de Amazon VPC.

Facturación

P: ¿Qué define las horas de conexión de VPN facturables?

R: Las horas de conexión de VPN se facturan siempre que las conexiones de VPN se encuentren en estado “disponible”. Puede determinar el estado de una conexión de VPN por medio de la consola de administración, la CLI o la API de AWS. Si no desea seguir utilizando la conexión de VPN, solo tiene que terminar dicha conexión para evitar que se le facturen las horas adicionales de conexión de VPN.

P: ¿Los precios incluyen impuestos?

R: A no ser que se especifique lo contrario, nuestros precios no incluyen los impuestos y gravámenes aplicables, como el IVA y cualquier otro impuesto aplicable sobre las ventas. En el caso de los clientes con una dirección de facturación de Japón, el uso de los servicios de AWS está sujeto al impuesto de consumo nipón. Más información.

Configuración y administración de AWS Site-to-Site VPN

P: ¿Puedo utilizar la consola de administración de AWS para controlar y administrar AWS Site-to-Site VPN?

R: Sí. Puede utilizar la consola de administración de AWS para administrar conexiones IPsec VPN, como AWS Site-to-Site VPN.

P: ¿Cuántas gateways de cliente, gateways privadas virtuales y conexiones de AWS Site-to-Site VPN puedo crear?

R: Puede tener lo siguiente:

  • Una gateway de Internet por VPC
  • Cinco gateways privadas virtuales por cuenta de AWS por región
  • Cincuenta gateways de cliente por cuenta de AWS por región
  • Diez conexiones de VPN IPsec por gateway privada virtual

Consulte la Guía del usuario de VPC para obtener más información acerca de los límites de VPC.

Conectividad de AWS Site-to-Site VPN

P: ¿Qué opciones de conectividad VPN existen para mi VPC?

R: Puede conectar su VPC al centro de datos de su empresa mediante una conexión de VPN de hardware a través de la gateway privada virtual.

P: ¿Cómo acceden a Internet las instancias sin direcciones IP públicas?

R: Las instancias sin direcciones IP públicas pueden obtener acceso a Internet de dos maneras distintas:

Las instancias sin direcciones IP públicas pueden direccionar el tráfico mediante una gateway de traducción de dirección de red (NAT) o una instancia NAT para obtener acceso a Internet. Estas instancias utilizan la dirección IP pública de la gateway de NAT o la instancia NAT para atravesar Internet. La gateway de NAT o la instancia NAT deja pasar las comunicaciones de salida, pero no permite que las máquinas de Internet inicien una conexión con las instancias con dirección privada.

Para las VPC que tienen una conexión de VPN de hardware o Direct Connect, las instancias pueden direccionar su tráfico de Internet por la gateway privada virtual hasta su centro de datos. Desde ahí, pueden obtener acceso a Internet por medio de los puntos de salida existentes y a través de los dispositivos de seguridad y monitoreo que tenga instalados en la red.

P: ¿Cómo funciona una conexión de AWS VPN de sitio a sitio con Amazon VPC?

P: Una conexión de AWS VPN de sitio a sitio conecta la VPC con el centro de datos. Amazon admite conexiones de VPN de seguridad de protocolo de Internet (IPsec). Los datos que se transfieren entre su VPC y su centro de datos se direccionan a través de una conexión de VPN cifrada para ayudar a mantener la confidencialidad y la integridad de los datos en tránsito. No se necesita una gateway de Internet para establecer una conexión de Site-to-Site VPN.

P: ¿Qué es IPsec?

R: IPsec es un conjunto de protocolos para proteger las comunicaciones por protocolo de Internet (IP) mediante la autenticación y el cifrado de todos los paquetes IP de una transmisión de datos.

P: ¿Qué dispositivos de gateway de cliente puedo utilizar para conectarme a Amazon VPC?

R: Puede crear dos tipos de conexiones de AWS Site-to-Site VPN: dirigidas estáticamente o dinámicamente. Los dispositivos de gateway de cliente que admitan las conexiones de VPN dirigidas estáticamente deben ser capaces de:

Establecer una asociación de seguridad IKE mediante claves previamente compartidas

Establecer asociaciones de seguridad IPsec en modo de túnel

Utilice la función de cifrado AES 128-bit, 256-bit, 128-bit-GCM-16 o 256-GCM-16

Utilice la función de hash SHA-1, SHA-2 (256), SHA2 (384) o SHA2 (512)

Utilizar la función Diffie-Hellman Perfect Forward Secrecy en modo de “Grupo 2” o uno de los grupos de DH adicionales que admitimos

Realizar la fragmentación de paquetes antes de cifrar

Además de las capacidades anteriores, los dispositivos que admitan las conexiones de Site-to-Site VPN dirigidas dinámicamente deben ser capaces de:

Establecer asociación entre pares con protocolo de gateway fronterizo (BGP)

Conectar túneles a interfaces lógicas (VPN basada en rutas)

Utilizar la detección IPsec de pares muertos

P: ¿Qué grupos Diffie-Hellman se admiten?

R: Se admiten los siguientes grupos Diffie-Hellman (DH) en Phase 1 y Phase 2.

Grupos 1 DH en Phase 2, 14-24.

Grupos 2 DH en Phase 2, 5, 14-24.

P: ¿Qué algoritmos propone AWS cuando se necesita volver a general la clave IKE?

R: De manera predeterminada, luego el punto de enlace de VPN en lado de AWS propondrán los grupos 2 AES-128, SHA-1 y DH. Si desea especificar una propuesta para volver a general la clave, recomendamos que utilice Modify VPN Tunnel Options (Modificar opciones de túnel de VPN) para restringir el túnel de opciones a los parámetros de VPN específicos que solicita.

P: ¿Qué dispositivos de gateway de cliente funcionan con Amazon VPC?

R: En la guía para administradores de red, encontrará una lista de dispositivos que cumplen los requisitos anteriores y cuyo funcionamiento con conexiones de VPN de hardware está comprobado. Además, permiten la generación automática de archivos de configuración adecuados para su dispositivo por medio de herramientas de línea de comandos.

P: Si mi dispositivo no aparece en la lista, ¿dónde puedo buscar más información sobre cómo usarlo con Amazon VPC?

R: Le recomendamos consultar el foro de Amazon VPC, ya que es posible que existan otros clientes que ya estén utilizando su dispositivo.

P: ¿Cuál es el rendimiento máximo aproximado de una conexión de Site-to-Site VPN?

R: Cada conexión de Site-to-Site VPN de AWS tiene dos túneles y cada túnel admite un máximo rendimiento de hasta 1.25 Gbps. Si la conexión de VPN es para una gateway privada virtual, se aplicarán límites de rendimiento agregados.

P: ¿Existe un límite de rendimiento agregado para una gateway privada virtual?

R: Una gateway privada virtual tiene un límite de rendimiento agregado por tipo de conexión. Las conexiones de VPN múltiples para la misma gateway privada virtual están vinculados por un límite de rendimiento agregado de AWS en las instalaciones de hasta 1.25 Gbps. Para la conexión de AWS Direct Connect en una gateway privada virtual, el rendimiento está vinculado por el puerto físico de conexión directo. Para conectar múltiples VPC y lograr límites de rendimiento más altos, utilice AWS Transit Gateway.

P: ¿Qué factores inciden sobre el rendimiento de una conexión de VPN?

R: El rendimiento de una conexión de VPN puede depender de varios factores, como la capacidad de la gateway de cliente, la capacidad de su conexión, el tamaño de paquete promedio, el protocolo utilizado, TCP o UDP, y la latencia de red entre su CGW y su gateway privada virtual.

P: ¿Cuáles son los paquetes por segundo máximos aproximados de una conexión de Site-to-Site VPN?

R: Cada conexión de Site-to-Site VPN de AWS tiene dos túneles y cada túnel admite un máximo de paquetes por segundo de hasta 140 000.  

P: ¿Qué herramientas hay disponibles para ayudarme a solucionar los problemas de configuración de Site-to-Site VPN?

R: La API DescribeVPNConnection indica el estado de la conexión de VPN, incluido el estado (“up”/“down”) de cada túnel de VPN y los correspondientes mensajes de error si uno de los túneles no funciona (“down”). Esta información también se muestra en la consola de administración de AWS.

P: ¿Cómo puedo conectar una VPC con el centro de datos de mi empresa?

R: El establecimiento de una conexión de VPN de hardware entre su red existente y Amazon VPC permite interactuar con las instancias de Amazon EC2 en una VPC como si estuviesen en la red existente. AWS no realiza conversión de direcciones de red (NAT) en las instancias Amazon EC2 de una VPC a la que se obtiene acceso mediante una conexión de VPN de hardware.

P: ¿Puedo convertir con NAT mi gateway de cliente tras un router o firewall?

R: Utilizará la dirección IP pública de su dispositivo de NAT.

P: ¿Qué dirección IP utilizo para mi dirección de gateway de cliente?

R: Utilizará la dirección IP pública de su dispositivo de NAT.

P: ¿Cómo deshabilito NAT-T en mi conexión?

R: Debe deshabilitar NAT-T en el dispositivo. Si no piensa utilizar NAT-T y este no está deshabilitado en el dispositivo, se intentará establecer un túnel a través del puerto UDP 4500. Si dicho puerto no está abierto, el túnel no se establecerá.

P: Quiero tener varios gateway de cliente tras una NAT, ¿cómo puedo configurarlo?

R: Debe deshabilitar NAT-T en el dispositivo. Si no piensa utilizar NAT-T y este no está deshabilitado en el dispositivo, se intentará establecer un túnel a través del puerto UDP 4500. Si dicho puerto no está abierto, el túnel no se establecerá.

P: ¿Cuántas asociaciones de seguridad IPsec pueden establecerse simultáneamente en cada túnel?

R: El servicio VPN de AWS se basa en rutas, por lo que al utilizar una configuración basada en rutas no encontrará ninguna limitación de asociaciones de seguridad. Sin embargo, si utiliza una solución basada en políticas deberá limitarse a una única asociación, ya que el servicio es una solución basada en rutas.

P: ¿Puedo anunciar mi rango de direcciones IP públicas de VPC en Internet y direccionar el tráfico a través de mi centro de datos hacia mi VPC por medio de Site-to-Site VPN?

R: Sí, puede direccionar el tráfico mediante una conexión de VPN y anunciar el rango de direcciones desde su red doméstica.

P: ¿Cuál es el número máximo de rutas que mi conexión de VPN anunciará a mi dispositivo gateway de cliente?

R: Su conexión de VPN anunciará un máximo de 1000 rutas al dispositivo gateway de cliente. Para las VPN de una gateway privada virtual, las fuentes de rutas anunciadas incluyen rutas VPC, otras rutas VPN y rutas de interfaces virtuales DX. Para las VPN de AWS Transit Gateway, las rutas anunciadas provienen de la tabla de enrutamiento asociada a la conexión de VPN. Si se intentan enviar más de 1000 rutas, solo se anunciará un subconjunto de 1000.  

P: ¿Cuál es el número máximo de rutas que se pueden anunciar a mi conexión de VPN desde mi dispositivo gateway de cliente?

R: Puede anunciar un máximo de 100 rutas a su conexión de VPN desde su dispositivo gateway de cliente. Para una conexión de VPN con rutas estáticas, no podrá agregar más de 100 rutas estáticas. Para una conexión de VPN con BGP, la sesión BGP se reiniciará si intenta anunciar más de 100 rutas.

P: ¿Las conexiones de VPN admiten tráfico IPv6?

R: Sí. Las conexiones de VPN a un AWS Transit Gateway pueden admitir tráfico ya sea IPv4 o IPv6 que se puede seleccionar a la vez que se crea una nueva conexión VPN. Para seleccionar IPv6 para el tráfico VPN, configure la opción de túnel VPN para la versión Inside IP a IPv6. Tenga en cuenta que el punto de enlace del túnel y las direcciones de IP del gateway de cliente son IPv4 únicamente.

P: ¿Qué lado del túnel VPN inicia la sesión de intercambio de claves de Internet (IKE)?

R: El gateway de cliente (CGW) debe iniciar el IKE de forma predeterminada. Alternativamente, los puntos de enlace de la VPN de AWS pueden iniciarse habilitando las opciones apropiadas.

AWS Site-to-Site VPN acelerada

P: ¿Por qué debería utilizar una Site-to-Site VPN acelerada?

R: Las conexiones VPN enfrentan disponibilidad y desempeño inconsistentes a medida que el tráfico viaja a través de varias redes públicas de Internet antes de alcanzar el punto de enlace VPN de AWS. Dichas redes públicas pueden estar congestionadas. Cada salto puede traer riesgos de disponibilidad y desempeño. Una Site-to-Site VPN acelerada hace que la experiencia de usuario sea más consistente gracias al uso de la red global de alta disponibilidad y libre de congestión de AWS.

P: ¿Cómo puedo crear una Site-to-Site VPN acelerada?

R: Cuando esté creando una conexión VPN, establezca “Enable Acceleration” (Habilitar aceleración) en “true”.

P: ¿Cómo averiguo si mi conexión VPN existente es una Site-to-Site VPN acelerada?

R: En la descripción de su conexión VPN, el valor “Enable Acceleration” (Habilitar aceleración) debe estar establecido como “true”.

P: ¿Cómo puedo convertir mi Site-to-Site VPN existente en una Site-to-Site VPN acelerada?

R: Después de crear una nueva Site-to-Site VPN acelerada, actualice su dispositivo de gateway de cliente para conectarse a esta nueva conexión de VPN y, a continuación, elimine su conexión de VPN existente. Obtendrá nuevas direcciones IP del punto de enlace del túnel dado que las VPN aceleradas utilizan rangos de direcciones IP diferentes de las conexiones VPN no aceleradas.

P: ¿Tanto AWS Transit Gateway como la virtual gateway son compatibles con Site-to-Site VPN aceleradas?

R: Solo Transit Gateway es compatible con Site-to-Site VPN aceleradas. Debe especificarse una gateway de tránsito cuando se cree una conexión VPN. El punto de enlace de VPN en el lado de AWS se crea en Transit Gateway.

P: ¿Una conexión de Site-to-Site VPN acelerada ofrece dos túneles para una alta disponibilidad?

R: Sí, cada conexión VPN ofrece dos túneles para una alta disponibilidad.

P: ¿Hay alguna diferencia de protocolo entre los túneles de Site-to-Site VPN aceleradas y no aceleradas?

R: Se requiere NAT-T y se activa de forma predeterminada para las conexiones Site-to-Site VPN aceleradas. Aparte de eso, los túneles de VPN aceleradas y no aceleradas admiten el mismo tipo de protocolos de seguridad IP (IPsec) e intercambio de claves por red (IKE), además de ofrecer el mismo ancho de banda, opciones de túnel, opciones de direccionamiento y tipos de autenticación.

P: ¿Una conexión de Site-to-Site VPN acelerada ofrece dos zonas de red para una alta disponibilidad?

R: Sí, seleccionamos direcciones de protocolos de IP globales de AWS Global Accelerator de zonas de red independientes para los puntos de enlace de los dos túneles.

P: ¿Son las Site-to-Site VPN aceleradas una opción en AWS Global Accelerator?

R: No, las Site-to-Site VPN aceleradas solo se puede crear mediante AWS Site-to-Site VPN. Las Site-to-Site VPN aceleradas no pueden crearse mediante la consola o la API de AWS Global Accelerator.

P: ¿Puedo usar una VPN acelerada en interfaces virtuales públicas de AWS Direct Connect?

R: No, no se admiten Site-to-Site VPN aceleradas en interfaces virtuales públicas de Direct Connect. En la mayor parte de los casos no hay ningún beneficio de aceleración al usar una Site-to-Site VPN acelerada en Direct Connect.

P: ¿En qué regiones de AWS está disponible Site-to-Site VPN aceleradas?

R: El Accelerated Site-to-Site VPN disponible está actualmente disponible en esas regiones de AWS: EE. UU. Oeste (Oregón), EE. UU. Oeste (Norte de California), EE. UU. Este (Ohio), EE. UU. Este (Norte de Virginia), América del Sur (São Paulo), Medio Oriente (Baréin), Europa (Estocolmo), Europa (París), Europa (Milán), Europa (Londres), Europa (Irlanda), Europa (Fráncfort), Canadá (Central), Asia-Pacífico (Tokio), Asia-Pacífico (Sídney), Asia-Pacífico (Singapur), Asia-Pacífico (Seúl), Asia-Pacífico (Mumbai), Asia-Pacífico (Hong Kong), África (Ciudad del Cabo).

Configuración y administración de AWS Client VPN

R: ¿Cómo configuro AWS Client VPN?

R: El administrador de TI crea un punto de enlace de Client VPN, asocia una red de destino a ese punto de enlace y configura las políticas de acceso para permitir la conectividad del usuario final. El administrador de TI distribuye el archivo de configuración de Client VPN a los usuarios finales. Estos deberán descargar un cliente OpenVPN y utilizar el archivo de configuración de Client VPN para crear una sesión de VPN.

P: ¿Qué tiene que hacer un usuario final para establecer una conexión?

R: El usuario final debe descargar un cliente OpenVPN en su dispositivo. A continuación, el usuario importará el archivo de configuración de AWS Client VPN al cliente OpenVPN e iniciará una conexión VPN.

Conectividad de AWS Client VPN

P: ¿Cómo habilito la conectividad con otras redes?

R: Puede habilitar la conectividad con otras redes como VPC de Amazon interconectadas, redes locales a través de gateways virtuales o servicios de AWS, como S3, mediante puntos de enlace, redes a través de AWS PrivateLink u otros recursos a través de gateways de Internet. Para habilitar la conectividad, agregue una ruta a la red específica en la tabla de ruteo de Client VPN y una regla de autorización que permita el acceso a dicha red.

P: ¿Puede pertenecer el punto de enlace de Client VPN a una cuenta diferente que la subred asociada?

R: No, la subred asociada tiene que estar en la misma cuenta que el punto de enlace de Client VPN.

P: ¿Puedo acceder a recursos de una VPC ubicada en una región diferente de la configurada en la sesión TLS mediante una dirección IP privada?

R: Puede hacerlo si sigue estos pasos: Primero, configure una interconexión entre regiones entre su VPC de destino (aquella ubicada en una región diferente) y la VPC asociada de Client VPN. Segundo, debe agregar una ruta y una regla de acceso para la VPC de destino en el punto de enlace de Client VPN. Una vez hecho esto, sus usuarios podrán acceder a los recursos de la VPC de destino que se encuentra en una región diferente desde su punto de enlace de Client VPN.

P: ¿Qué protocolos de transporte son compatibles con Client VPN?

R: Puede elegir TCP o UDP para la sesión de VPN.

P: ¿AWS Client VPN es compatible con túnel dividido?

R: Sí. Puede optar por crear un punto de enlace con el túnel dividido habilitado o deshabilitado. Si ya ha creado un punto de enlace con el túnel dividido deshabilitado, puede optar por modificarlo para habilitar el túnel dividido. Si el túnel dividido está habilitado, el tráfico destinado a las rutas configuradas en el punto de enlace se enrutará a través del túnel de VPN. El resto del tráfico se enrutará a través de su interfaz de red local. Si el túnel dividido está deshabilitado, todo el tráfico del dispositivo atravesará el túnel de VPN.

Autenticación y autorización de AWS Client VPN

P: ¿Qué mecanismos de autenticación son compatibles con AWS Client VPN?

R: AWS Client VPN es compatible con la autenticación con Active Directory mediante AWS Directory Service, la autenticación basada en certificados y la autenticación federada mediante SAML-2.0.

P: ¿Puedo utilizar un servicio de Active Directory en las instalaciones para autenticar usuarios?

R: Sí. AWS Client VPN se integra con AWS Directory Service para que pueda conectarse a Active Directory en las instalaciones.

P: ¿AWS Client VPN es compatible con la autenticación mutua?

R: Sí, AWS Client VPN es compatible con la autenticación mutua. Cuando se habilita la autenticación mutua, el cliente debe cargar el certificado raíz utilizado para emitir el certificado del cliente en el servidor.

P: ¿Puedo poner en la lista negra los certificados de cliente?

R: Sí, AWS Client VPN es compatible con las listas de anulación de certificados (CRL) configuradas estadísticamente.

P: ¿Client AWS VPN admite que un cliente incorpore su propio certificado?

R: Sí. Debe cargar el certificado, el certificado de autoridad de certificación (CA) raíz y la clave privada del servidor. Los tres elementos deben cargarse en AWS Certificate Manager.

P: ¿Se integra AWS Client VPN con AWS Certificate Manager (ACM) para generar certificados de servidor?

R: Sí. Puede utilizar ACM como una CA subordinada encadenada a una CA raíz externa. ACM generará el certificado de servidor. En este caso, ACM también realiza la rotación de certificados de servidor.

P: ¿AWS Client VPN admite la evaluación de posturas?

R: No. AWS Client VPN no admite la evaluación de posturas. Otros servicios de AWS, como Amazon Inspectors, sí son compatibles con la evaluación de posturas.

P: ¿AWS Client VPN es compatible con Multi-Factor Authentication (MFA)?

R: Sí, AWS Client VPN admite MFA a través de Active Directory mediante AWS Directory Services y a través de proveedores de identidad externos (Okta, por ejemplo).

P: ¿De qué forma AWS Client VPN admite la autorización?

R: Usted debe configurar reglas de autorización que limiten los usuarios que pueden acceder a una red. Para una red de destino en particular, puede configurar el grupo de Active Directory o el grupo del proveedor de identidad al que se concede acceso. Solo los usuarios que pertenezcan a este grupo de Active Directory o grupo del proveedor de identidad podrán acceder a la red especificada.

P: ¿AWS Client VPN es compatible con grupos de seguridad?

R: Client VPN es compatible con grupos de seguridad. Puede especificar un grupo de seguridad para el grupo de asociaciones. Cuando se asocia una subred, aplicaremos automáticamente el grupo de seguridad predeterminado del VPC de la subred.

P: ¿Cómo utilizo el grupo de seguridad para restringir el acceso a mis aplicaciones exclusivamente a conexiones de Client VPN?

R: Para su aplicación, puede especificar que permite solo el acceso desde los grupos de seguridad aplicados a la subred asociada. De ese modo, solo podrán acceder usuarios conectados a través de Client VPN.

P: En la autenticación federada, ¿puedo modificar el documento de metadatos del IDP?

R: Sí, puede cargar un nuevo documento de metadatos al proveedor de identidad de IAM asociado al punto de enlace de Client VPN. Los metadatos actualizados se verán reflejados de 2 a 4 horas más tarde.

P: ¿Puedo usar un cliente de OpenVPN de terceros para conectarme a un punto de enlace de Client VPN configurado con la autenticación federada?

R: No, debe usar el cliente de software de AWS Client VPN para conectarse al punto de enlace.

Visibilidad y monitoreo de AWS Client VPN

P: ¿Qué registros se admiten para AWS Client VPN?

R: Client VPN exporta el registro de conexión como el mejor esfuerzo hacia CloudWatch Logs. Estos registros se exportan periódicamente cada 15 minutos. Los registros de conexión incluyen información sobre las solicitudes de conexión creadas y finalizadas.

P: ¿Client VPN es compatible con los registros de flujo de Amazon VPC en el punto de enlace?

R: No. Puede utilizar los registros de flujo de Amazon VPC en la VPC asociada.

P: ¿Puedo monitorear las conexiones activas?

R: Sí, a través de la CLI o la consola, puede visualizar las conexiones activas de un punto de enlace y finalizarlas.

P: ¿Puedo monitorear el punto de enlace con CloudWatch?

R: Sí. A través del monitor de CloudWatch puede consultar los bytes de entrada y salida y las conexiones activas de cada punto de enlace de Client VPN.

Clientes VPN

P: ¿Cómo implemento el cliente de software gratuito para AWS Client VPN?

R: El cliente de software para AWS Client VPN es compatible con las configuraciones existentes de AWS Client VPN. El cliente puede agregar perfiles utilizando el archivo de configuración OpenVPN generado por el servicio AWS Client VPN. Una vez que se creó el perfil, el cliente se conectará a su punto de enlace según su configuración.

P: ¿Cuál es el precio adicional por usar el cliente de software de AWS Client VPN?

R: El cliente de software se ofrece de manera gratuita. Solo deberá pagar el uso del servicio AWS Client VPN.

P: ¿Qué tipo de dispositivos y versiones de sistema operativo son compatibles?

R: Actualmente admitimos dispositivos de escritorio con Windows 10 de 64-bit y macOS (High Sierra, Mojave y Catalina). A medida que se presenten nuevos sistemas operativos, agregaremos soporte para ellos rápidamente.

P: ¿Se sincronizan mis perfiles de conexión en todos mis dispositivos?

R: No. Sin embargo, los administradores de TI pueden proporcionar archivos de configuración para que la implementación de su cliente de software preconfigure los ajustes.

P: ¿Necesito permiso de administrador en mi dispositivo para ejecutar el cliente de software de AWS Client VPN?

R: Sí. Necesita acceso de administrador para instalar la aplicación tanto en Windows como en Mac. Después de ese punto, no se requiere acceso de administrador.

P: ¿Qué protocolo VPN utiliza el cliente de AWS Client VPN?

R: AWS Client VPN, incluido el cliente de software, admite el protocolo OpenVPN.

P: ¿Todas las características admitidas por el servicio AWS Client VPN serán compatibles con el cliente de software?

R: Sí. El cliente admite todas las características proporcionadas por el servicio AWS Client VPN.

P: ¿El cliente de software de AWS Client VPN permite el acceso LAN cuando está conectado?

R: Sí, puede acceder a su red de área local cuando está conectado a AWS VPN Client.

P: ¿Qué capacidades de autenticación admite el cliente de software?

R: El cliente de software de AWS Client VPN es compatible con todos los mecanismos de autenticación ofrecidos por el servicio de AWS Client VPN: la autenticación con Active Directory mediante AWS Directory Service, la autenticación basada en certificados y la autenticación federada mediante SAML-2.0.

P: ¿Qué tipo de registro de cliente admite AWS Client VPN?

R: Cuando un usuario intenta conectarse, se registran los detalles de la configuración de la conexión. Los intentos de conexión se guardan durante un máximo de 30 días con un tamaño máximo de archivo de 90 MB.

P: ¿Puedo combinar el cliente de software de AWS Client VPN y los clientes OpenVPN basados en estándares que se conectan al punto de enlace de AWS Client VPN?

R: Sí, suponiendo que el tipo de autenticación definida en el punto de enlace de AWS Client VPN sea compatible con el cliente OpenVPN basado en estándares.

P: ¿Dónde puedo descargar el cliente de software de AWS Client VPN?

R: Puede descargar el cliente genérico sin ninguna personalización desde la página de producto de AWS Client VPN. Los administradores de TI pueden optar por alojar la descarga en su sistema.

P: ¿Puedo ejecutar diferentes tipos de clientes VPN en un dispositivo?

R: No recomendamos la ejecución de varios clientes VPN en un dispositivo. Esto puede generar conflictos o los clientes VPN pueden interferir entre sí y provocar fallas en las conexiones. Aclarado este punto, es posible instalar el cliente VPN de AWS junto con otro cliente VPN.

Gateway privada virtual

P: ¿Qué es esta característica?

R: Para cualquier gateway virtual nueva, un número de sistema autónomo privado (ASN) permite a los clientes definir el ASN en el extremo de Amazon de la sesión BGP para VPN y VIF privadas de AWS Direct Connect.

P: ¿Cuánto cuesta esta característica?

R: No se aplican cargos adicionales por el uso de esta característica.

P: ¿Cómo puedo configurar/asignar mi ASN para que se publique como ASN del lado de Amazon?

R: Puede configurar/asignar un ASN para que se publique como el ASN del extremo de Amazon durante la creación de la nueva gateway privada virtual (gateway virtual). Puede crear una gateway virtual mediante el uso de la consola de VPC o una llamada a la API EC2/CreateVpnGateway.

P: ¿Qué ASN asignó Amazon antes de esta característica?

R: Amazon asignó los siguientes ASN: UE Oeste (Dublín) 9059; Asia Pacífico (Singapur) 17493 y Asia Pacífico (Tokio) 10124. A las demás regiones se les asignó un ASN de 7224; a estos ASN se los denomina “ASN públicos heredados” de la región.

P: ¿Puedo usar cualquier ASN, público y privado?

R: Puede asignar cualquier ASN privado al extremo de Amazon. Puede asignar el “ASN público heredado” de la región hasta el 30 de junio de 2018. No puede asignar ningún otro ASN público. Luego del 30 de junio de 2018, Amazon proveerá un ASN de 64512.

P: ¿Por qué no puedo asignar un ASN público para la mitad de Amazon de la sesión BGP?

R: Amazon no valida la titularidad de los ASN, por lo tanto, estamos restringiendo el ASN del lado de Amazon a los ASN privados. Queremos proteger a los clientes de la suplantación de BGP.

P: ¿Qué ASN puedo elegir?

R: Puede elegir cualquier ASN privado. El rango de los ASN privados de 16 bits va de 64512 a 65534. También puede suministrar ASN de 32 bits entre 4200000000 y 4294967294.

Amazon proveerá un ASN predeterminado para la gateway virtual si usted no elige uno. Hasta el 30 de junio de 2018, Amazon continuará suministrando el “ASN público heredado” de la región. Luego del 30 de junio de 2018, Amazon proveerá un ASN de 64512.

P: ¿Qué sucederá si intento asignar un ASN público a la mitad de Amazon de la sesión de BGP?

R: Le solicitaremos que vuelva a escribir un ASN privado cuando intente crear la gateway virtual, a menos que sea el “ASN público heredado” de la región.

P: Si no suministro un ASN para la mitad de Amazon de la sesión de BGP, ¿qué ASN debo esperar que Amazon me asigne?

R: Amazon proveerá un ASN para la gateway virtual si usted no elige uno. Hasta el 30 de junio de 2018, Amazon continuará suministrando el “ASN público heredado” de la región. Luego del 30 de junio de 2018, Amazon proveerá un ASN de 64512.

P: ¿Dónde puedo ver el ASN del lado de Amazon?

R: Puede ver el ASN del extremo de Amazon en la página de la gateway virtual de la consola de la VPC y en la respuesta de la API EC2/DescribeVpnGateways.

P: Si tengo un ASN público, ¿funcionará con un ASN privado en el lado de AWS?

R: Sí, puede configurar el extremo de Amazon de la sesión BGP con un ASN privado y su extremo con un ASN público.

R: Tengo VIF privadas ya configuradas y deseo definir un ASN del lado de Amazon diferente para la sesión BGP en una VIF existente. ¿Cómo puedo implementar este cambio?

R: Deberá crear una gateway virtual nueva con el ASN elegido y crear una VIF nueva con la gateway virtual creada recientemente. La configuración de su dispositivo también debe modificarse respectivamente.

P: Tengo conexiones de VPN ya configuradas y deseo modificar el ASN del lado de Amazon para la sesión BGP de estas VPN. ¿Cómo puedo implementar este cambio?

R: Deberá crear una gateway virtual nueva con el ASN elegido y volver a crear las conexiones de VPN entre sus gateways de cliente y las nuevas gateway virtuales creadas.

P: Ya tengo una gateway virtual y una conexión de VIF/VPN privada configurada con un ASN público asignado por Amazon de 7224. Si Amazon genera automáticamente el ASN para la nueva gateway virtual privada, ¿qué ASN del extremo de Amazon se me asignará?

R: Amazon asignará 64512 al ASN del extremo de Amazon para la nueva gateway virtual.

P: Tengo una gateway virtual y una conexión de VIF/VPN privada configurada con un ASN público asignado por Amazon. Quiero usar el mismo ASN público asignado por Amazon para la nueva conexión de VIF/VPN privada que estoy creando. ¿Cómo lo hago?

R: Puede configurar/asignar un ASN para que se publique como el ASN del extremo de Amazon durante la creación de la nueva gateway privada virtual (gateway virtual). Puede crear una gateway virtual con la consola o la llamada a la API EC2/CreateVpnGateway. Como se mencionó anteriormente, hasta el 30 de junio de 2018, Amazon continuará suministrando el “ASN público heredado” de la región. Luego del 30 de junio de 2018, Amazon proveerá un ASN de 64512.

P: Tengo una gateway virtual y una conexión de VIF/VPN privada configurada con un ASN público asignado por Amazon de 7224. Si Amazon genera automáticamente el ASN para la nueva conexión de VIF/VPN privada con la misma gateway virtual, ¿qué ASN del extremo de Amazon se me asignará?

R: Amazon asignará 7224 al ASN del extremo de Amazon para la nueva conexión de VIF/VPN. El ASN del extremo de Amazon para su nueva conexión de VIF/VPN privada se hereda de su gateway virtual existente y se asigna de manera predeterminada a dicho ASN.

P: Estoy adjuntando varias VIF privadas a una única gateway virtual. ¿Es posible que cada VIF tenga un ASN del extremo de Amazon diferente?

R: No, es posible asignar/configurar un ASN del extremo de Amazon diferente para cada gateway virtual, pero no para cada VIF. El ASN del extremo de Amazon para la VIF se hereda del ASN del extremo de Amazon de la gateway virtual adjunta.

P: Estoy creando varias conexiones de VPN a una única gateway virtual. ¿Es posible que cada conexión de VPN tenga un ASN del extremo de Amazon diferente?

R: No, es posible asignar/configurar un ASN del extremo de Amazon diferente para cada gateway virtual, pero no para cada conexión de VPN. El ASN del extremo de Amazon para la conexión de VPN se hereda del ASN del extremo de Amazon de la gateway virtual.

P: ¿Dónde puedo seleccionar mi propio ASN?

R: Cuando cree una gateway virtual en la consola de VPC, desactive la casilla que pregunta si desea generar automáticamente el BGP ASN de Amazon y especifique su propio ASN privado para la mitad de Amazon de la sesión BGP. Una vez que la gateway virtual esté configurada con el ASN del extremo de Amazon, las VIF privadas o las conexiones de VPN creadas con la gateway virtual usarán su ASN del extremo de Amazon.

P: Actualmente utilizo CloudHub. ¿Tendré que realizar ajustes de configuración en el futuro?

R: No deberá hacer ninguna modificación.

P: Quiero seleccionar un ASN de 32 bits. ¿Cuál es el rango de ASN privadas de 32 bits?

R: Admitiremos ASN de 32 bits de 4200000000 a 4294967294.

P: Una vez que la gateway virtual se haya creado, ¿puedo modificar el ASN del lado de Amazon?

R: No, no podrá modificar el ASN del extremo de Amazon con posterioridad a la creación. Puede eliminar la gateway virtual y crear una nueva con el ASN que desee.

P: ¿Hay un API nueva para configurar/asignar el ASN del lado de Amazon?

R: Puede hacerlo con la API anterior (EC2/CreateVpnGateway). Tan solo añadimos un parámetro nuevo (amazonSideAsn) a la API.

P: ¿Hay un API nueva para ver el ASN del lado de Amazon?

R: Puede ver el ASN del extremo de Amazon con la misma API EC2/DescribeVpnGateways. Tan solo añadimos un parámetro nuevo (amazonSideAsn) a la API.

Product-Page_Standard-Icons_01_Product-Features_SqInk
Más información acerca de los precios

Precios sencillos para que sea fácil saber cuál es el adecuado para usted.

Más información 
Product-Page_Standard-Icons_02_Sign-Up_SqInk
Regístrese para obtener una cuenta gratuita

Obtenga acceso instantáneo a la capa gratuita de AWS. 

Regístrese 
Product-Page_Standard-Icons_03_Start-Building_SqInk
Comience a crear en la consola

Comience a crear con AWS VPN en la consola de AWS.

Introducción